他山之石

作者：許繼楠

在全球160多個國家開展業務，有40萬名員工分布在全球各地，還有約20萬名個承包商人員參與業務。作為一家全球整合型企業，IBM在安全和風險管理方麵遇到的挑戰非常突出。

“IBM全球整合企業的定位使得我們的信息安全工作十分複雜。”IBM新興市場CIO辦公室副總裁嘉瑞卡（Rekha Garapati）說。嘉瑞卡和她的同事不僅要滿足內部員工的安全需求，還要管理好承包商、供應商的安全問題。

得益於完善的IT風險管理架構，迄今為止，IBM從未在安全方麵出過紕漏。IBM作為一家典型的全球化企業，其安全策略和實踐值得借鑒。

四步構建IT風險管理架構

憑借在安全方麵多年的管理經驗，嘉瑞卡認為，CIO在應對信息安全時通常會涉及五大領域：物理層安全、IT基礎設施、身份識別、數據信息合規、應用係統和流程。IBM針對這些領域已經總結出十條提升安全水平的規範和措施，包括建立風險意識和管理係統、事件管理及響應、創建未來的工作場所（這裏強調的是移動終端應用）、通過設計提供安全服務、采取有效維護措施以確保基礎設施安全、控製網絡訪問、解決雲計算和虛擬化帶來的問題、確保供應鏈安全和政策遵循、保護結構化和非結構化數據、管理身份識別生命周期。

“員工認知能力的提升是阻擋惡意軟件的第一道屏障，為了加強對員工的安全性的教育，IBM推出了《安全指南》，如IT CS300和IT CS104是針對工作站的安全指南。IBM還是第一家發布博客安全指南的企業。我們製定了安全政策後，還花了大量金錢和時間讓員工對相關安全策略有所了解，這樣能更好地進行安全方麵的管理、評估和改善。”嘉瑞卡說。

IBM的IT風險管理架構的構建可以分解為四個步驟：第一，定義風險，由專門的政策團隊製定政策和標準；第二，管理，由投資管理團隊維護服務目錄，推出新舉措等；第三，衡量，由合規團隊衡量和報告合規情況；第四，改善，繪製風險圖，製定風險狀況改善策略。

“我們在衡量IT風險基礎上確定我們的政策，通過政策的製定實現更好的管理，通過對管理技術的衡量，最後實現對整個IT風險管理能力的改善。”嘉瑞卡解釋說。

值得一提的是，IBM有20多萬家承包商和供應商。為了讓這些夥伴的安全策略也遵循IBM全球統一的標準，IBM製定了一個風險地圖。“根據這個風險地圖，將風險可視化，並通過合規性了解全球風險內容。此外，通過把IT劃分成具體的風險內容，我們可以有針對性地將風險降低到可控範圍內。” 嘉瑞卡說。

形成對“安全力”的支持

IBM對企業信息安全的安枕無憂既來自建立完成的安全策略，從產品層麵來說，也來自IBM軟件“安全力”的支持，實際上支撐IBM安全策略的安全產品大部分來自IBM，少部分來自第三方廠商。

在終端管理方麵，IBM在全球有45萬台PC、1.6萬台服務器，現在IBM已經在全球所有員工的工作站上都部署了TEM（Tivoli Endpoint Manager）終端管理解決方案。TEM在惡意軟件防禦方麵做出了很大貢獻。通過使用TEM終端管理解決方案，能為嘉瑞卡和她的同事在檢測不同地區的惡意軟件時提供非常清晰的圖表。

在移動安全方麵，IBM還采用了Lotus Traveler使員工即便不用內部網絡也可以通過他們的移動終端安全進入到IBM的備忘錄、日曆表和郵件係統。

在身份管理方麵，IBM還通過使用Tivoli Identity Manager、Tivoli Access Manager和其他相關產品共同實現內部員工單一身份識別。

IBM軟件集團大中華區戰略及市場總監吳立東表示，IBM將自身在安全方麵的成功實踐和安全全生命周期產品提供給客戶，為便客戶理解複雜的安全策略和產品，將之總結為“安全力”。他說，安全力是軟件六大能力之一。軟件六大能力指的是將信息轉化為洞察的洞察力、驅動業務整合及優化的敏捷力、聯係和協作的協作力、推動產品和服務創新的創新力、優化業務架構及服務的優化力，以及管理風險、安全及合規的安全力。